K3Hr络规划说明.doc

人力资源系统网络规划(试行) 随着K/3人力资源系统在企业的广泛应用，常常在部署规划设计系统服务器、网络结构、客户端计算机、网络安全保障等遇到不少的困难，甚至导致系统应用无法让客户接受。本章节阐述K/3人力资源系统(简称HR系统)，针对不同客户应用场景需求，提供网络规划和系统部署的参考方法。 ※人力资源系统技术架构 HR使用的是典型的Windows DNA三层体系结构，主要支持B/S工作模式，其中系统管理员可能用到C/S结构（报表管理和系统管理）。 应用特点与K3 Web版本基本类似。 相比K/3网络部署，HR的Web服务器部署实施简单（没有诸如组件负载均衡应用模式，仅考虑网络负载平衡NLB） ※ 常见的K/3 HR网络结构方案 经济部署方案（Scale In one） 经济方案，允许客户将所有的服务都安装在一台服务器上，这种形式称为Scale In（向内扩展）。该方案在一台服务器上实现三层结构的全部工作过程。 标准部署方案（Scale Out – Tier 3） 当K/3 HR应用在一台服务器上不能满足，可以考虑将数据库服务器与HR 服务器分别部署在两台不同的服务器，这种形式称为Scale Out（向外扩展）。 网络负载平衡应用方案（Network Loading Balance） 当客户业务需求在进行了三层结构分解以后，HR服务器、数据库服务器依然无法达到性能负荷要求时，建议采用下列方式进行横向扩展。 HR服务器：采用网络负载平衡NLB。 数据库服务器：采用“主动到主动”群集应用模式、新增CPU、内存。 ※网络安全监控 随着计算机病毒不断变种和蔓延，其危害程度也越来越高，那么，如何保障系统安全，一般考虑几个主要因素： 操作系统安全 该内容复杂，属于网络系统管理员了解内容，一般人员仅了解即可。 Windows 2000安全补丁（SP ）。 AD域控制器及成员服务器组策略设置、安全模板选择。 IPSec（IP安全策略，例如，数据库服务器仅允许某IP进行访问，防止非法访问）。（可选项） 数据库服务器IP地址对客户端不可见，特殊岗位可采用路由或VPN连接。（可选项） 防火墙管理 防火墙应用目的：设置策略，授权控制访问，诸如：IP地址、端口、网站等等；发布局域网应用（FTP、MAILServer、Web应用、局域网服务器应用程序端口）至Internet。 例如，金蝶财务集中式应用中终端服务应用软件Citrix，就采用ISA2000防火墙进行发布，而不是将Citrix(K/3 GUI)服务器直接暴露在互联网招致攻击。 应用场景：数据库服务器完全受防火墙保护、HR服务器仅发布80等端口。 特别说明：防火墙目前市面上流行很多，防火墙性能高低直接影响K/3 HR，其系统策略复杂程度均会影响网络传输。特别是K/3 HR大量并发用户应用，数据库与HR服务器之间的有效带宽达到100M，甚至更高达1G。所以，在部署防火墙的同时，要求同步考虑防火墙策略是合适，必要时，建议将HR服务器与数据库之间同属防火墙保护范围之内。 建立SSL安全机制IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外，还有一种安全性更高的认证，就是通过SSL（Security Socket Layer）安全机制使用数字证书。 建立了SSL安全机制后，只有SSL允许的客户才能与SSL允许的Web站点进行通信，并且在使用URL资源定位器时，输入https:// ，而不是http:// 。 简单的说默认情况下我们所使用的HTTP协议是没有任何加密措施的，这点危害在一些企业内部网络中比较大，对于使用HUB的企业内网来说简直就是没有任何安全可讲因为任何人都可以在一台电脑上看到其他人在网络中的活动，对于使用交换机来组网的网络来说安全威胁性要小很多。 所以全面加密整个网络传输隧道的确是个很好的安全措施Scale In one 硬件投资成本最小； 服务器内部通讯速度最快(系统内部总线处理速度)； 维护最简单； 服务器在物理上对客户端是可见的，不符合高安全性的要求； 硬件负荷能力较小，并发用户数量有限；业务扩展的时候需要升级服务器或者考虑使用其它的解决方案。 许可协议较少； 并发操作用户数量不多； 小规模企业应用。 标准部署方案 Scale Out - Tier 3 硬件投资成本最有效，可以针对HR服务、数据库服务不同的需求选用最适用的服务器硬件； 数据库与客户端隔离，最大程度保护客户的数据安全； 支持较多并发用户操作需求； 性能价格比最优的方案形式。K/3Hr应用较为普遍的网络模型。 网络负载平衡应用方案 Network Loading Balance 数据库与客户端隔离，最大程度保护客户的数据安全； 数据库采用Fail-Over Cluster，在单台数据库出